一、基础架构概览（请考虑IPV6）

二、专有名词介绍

• 防火墙

  • 核心功能

    graph LR
        A[入站流量] --> B[规则匹配]
        B --> C{匹配成功？}
        C -->|是| D[允许/拒绝]
        C -->|否| E[默认策略]
    

  • 部署方案

    位置	类型	配置示例（nftables）
    网络边界	网关防火墙	​nft add rule inet filter input tcp dport 22 ct state new limit rate 3/minute accept
    主机层面	Host-Based	​ufw allow from 192.168.1.0/24 to any port 22
    云环境	NSG/Security Group	​aws ec2 authorize-security-group-ingress --protocol tcp --port 443 --cidr 0.0.0.0/0

• IPS/IDS（入侵防御/检测系统）

  • 工作差异

  • 关键技术

    技术	原理	典型规则
    签名检测	匹配已知攻击特征	​alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"SQL Injection"; flow:established; content:"' OR 1=1--";)
    异常检测	建立行为基线报警偏差	检测HTTP请求频率突增500%
    协议分析	验证协议合规性	检测畸形的TCP分段包
    启发式分析	识别可疑行为模式	检测端口扫描+漏洞探测的组合行为

• 蜜罐

  • 部署架构

  • 高级拓扑

• SIEM（安全信息与事件管理）

  • 核心架构

  • 关键功能

    模块	技术栈	配置示例
    日志采集	Filebeat/Logstash	​filebeat.inputs: paths: [/var/log/suricata/eve.json]
    数据存储	Elasticsearch	​ES_HEAP_SIZE=16g
    关联分析	Sigma规则引擎	​detection: keywords: 'admin*' condition: all of them
    可视化	Grafana/Kibana	SQL查询：SELECT source.ip, COUNT(*) FROM logs WHERE event.action:"deny" GROUP BY source.ip

• WAF（Web应用防火墙）

  • 防护机制对比

    防护层	传统防火墙	WAF
    工作层级	L3/L4	L7
    防护对象	IP/端口	HTTP/HTTPS请求
    关键能力	阻止端口扫描	防御SQL注入/XSS/CSRF
    典型产品	iptables	ModSecurity/Cloudflare WAF

• DMZ（非军事区）

  • 核心概念与架构

  • 典型架构类型

    架构类型	示意图	适用场景	安全等级
    单防火墙架构	互联网→防火墙→[DMZ/内网]	中小企业	★★☆☆☆
    双防火墙架构	互联网→FW1→DMZ→FW2→内网	金融机构/政府	★★★★★
    云原生DMZ	互联网→WAF→公有云DMZ→私有云	混合云环境	★★★★☆